9.1 料金
本CAが発行する証明書に関する料金については、別途規定する。
9.2 財務上の責任 規定しない。
9.3 機密情報の保持
9.3.1 秘密情報の範囲
NIIが保持する個人及び組織の情報は、証明書、CRL、本CPとして明示的に公表され たものを除き、機密保持対象として扱われる。NIIは、法の定めによる場合及び証明書 利用による事前の承諾を得た場合を除いてこれらの情報を外部に開示しない。かかる 法的手続、司法手続、行政手続あるいは法律で要求されるその他の手続に関連してア ドバイスする法律顧問及び財務顧問に対し、NIIは機密保持対象として扱われる情報を 開示することができる。また、研究所の合併、再編成に関連してアドバイスする弁護 士、会計士、金融機関及びその他の専門家に対しても、NIIは機密保持対象として扱わ れる情報を開示することができる。
9.3.2 秘密情報範囲外の情報
証明書及びCRLに含まれている情報は機密保持対象外として扱う。その他、次の状況 におかれた情報は機密保持対象外とする。
・ NIIの過失によらず知られた、あるいは知られるようになった情報
・ NII以外の出所から、機密保持の制限無しにNIIに知られた、あるいは知られるよ
うになった情報
・ NIIによって独自に開発された情報
・ 開示に関して利用管理者及び利用者によって承認されている情報
9.3.3 秘密情報を保護する責任
NIIは、法の定めによる場合、利用管理者及び利用者による事前の承諾を得た場合に機 密情報を開示することがある。その際、その情報を知り得た者は、契約あるいは法的 な制約によりその情報を第三者に開示することはできない。
9.4 個人情報のプライバシー保護
NIIは、当研究所のCAサービスから収集した個人情報を、申請内容の確認、必要書類等
の送付、権限付与対象者の確認などCAの運用に必要な範囲で利用する。NIIの個人情報 保護方針については、NIIのホームページ(http://www.rois.ac.jp/pdf/kojinkitei.pdf)に おいて公表する。
9.5 知的財産権
本CP、本CAから発行する証明書は著作権を含み、NIIの権利に属するものとする。
9.6 表明保証
9.6.1 本CAの義務と責任
(1) 本CAの運営
本CAは、CPSに基づき本CAの運営を行う。
(2) 本CA業務の委託
業務の一部又は全部を外部に委託する場合、本CAは、委託者に本CAの運営主体 が定める本CP、CPSの遵守及び個人情報の厳正な取り扱いを遵守させなければな らない。
(3) 証明書の発行及び失効
本CAは、RAからの適切な証明書発行指示、失効指示に基づき証明書発行及び失 効を行う。
(4) 本CA秘密鍵の保護
本CAの秘密鍵を適切に管理し、発行した証明書及び証明書失効情報の信頼の確保 を行う。
(5) リポジトリの公開
リポジトリにて本CAに関する情報を公開する。
(6) 秘密情報の取り扱い
本CAは、本CP及びCPSに基づき、秘密情報を適切に取り扱う。
(7) 監査
本CAが実施する認証業務について定期的に監査を行う。
9.6.2 RAの義務と責任
(1) RAの運営
RAは、本CPに基づき運営を行う。
(2) 登録担当者からの申請確認
RA は、登録担当者からの申請であることを本 CP の本人性及び実在性の確認方法 に基づき、申請を行う者の確認を実施する。
(3) 証明書の発行及び失効指示
RAは、本項「(2) 登録担当者からの申請確認」による申請を確認した後、IAに証 明書発行及び失効の指示を行う。
9.6.3 機関の義務と責任 (1) 登録担当者の実在性の確認
NIIが別に定める手続きにもとづき、登録担当者の実在性を保証し、登録担当者の 存在確認の義務を負う。
(2) ドメインの本人性確認
NIIが別に定める手続きにもとづき、機関で取り扱うドメインについて、当該機関 の所有するドメインであり、また証明書の発行を受けることについて機関の許諾を 得ていることの義務を負う。
9.6.4 利用管理者及び利用者の義務と責任 (1) サーバの本人性の確認
利用管理者及び利用者は、サーバの鍵ペアのうち秘密鍵がサーバ外部へ漏れないよ う管理する義務を負う。
(2) 証明書の適切な使用
利用管理者及び利用者は、本CP「1.4証明書の使用方法」で規定された証明書用途 を遵守する。
(3) 証明書記載事項の管理
利用管理者及び利用者は発行された証明書の記載事項を受領時に確認し、記載事項 に誤りがあった場合には、直ちに登録担当者を介して本CAに連絡する。
(4) 秘密鍵の危殆化についての届出
利用管理者及び利用者は、秘密鍵が危殆化している、又はその疑いがある場合は、
直ちに登録担当者を介して本CAに証明書の失効申請を行う。
(5) 証明書の利用停止の届出
利用管理者及び利用者は、証明書の利用を停止する場合、直ちに登録担当者を介し て本CAに証明書の失効申請を行う。
(6) 秘密鍵の破棄
利用管理者及び利用者は、失効時において、又は秘密鍵の危殆化若しくはその疑い がある場合、直ちに証明書の利用を停止し秘密鍵を完全に破棄する。
(7) 本CAによる失効
利用管理者及び利用者は、本CAの判断により、証明書が失効されることがあるこ とを承諾する。
(8)証明書記載事項の変更
利用管理者及び利用者は、証明書記載事項に変更があった場合は、登録担当者を介
して、失効申請と、必要に応じて証明書の再発行の手続きを行う。
9.6.5 検証者の義務と責任
(1) CP及びCPSへの同意
検証者は、本CAが発行する証明書の検証において本CP及びCPSへ同意しなけれ ばならない。
(2) 証明書の有効性確認
検証者は、本CAが発行する証明書の有効性を確認しなければならない。
9.6.6 ICカード発行業者の義務と責任
本CAではICカード発行業者について規定しない。
9.6.7 登録担当者の義務と責任
(1) 利用管理者及び利用者の本人性・実在性の確認
本CAが発行する証明書について、登録担当者は利用管理者及び利用者の本人性・
実在性を保証し、利用管理者及び利用者の存在確認の義務を負う。
(2) 証明書の失効承認
本CAが発行する証明書において登録担当者は、利用管理者から失効申請に承認を 求められた場合、失効事由が適切であることを確認の上、承認する。
(3) サーバの実在性の確認
本CAが発行するサーバ証明書について、登録担当者はサーバがサービス利用機関 の所有又は管理下にあり、利用管理者及び利用者がサーバの管理者であることを保 証し、サーバの実在確認の義務を負う。
9.7 限定保証
本 CAは、本CP「9.6.1本CAの義務と責任」に規定する保証に関連して発生するいか
なる間接損害、特別損害、付随的損害又は派生的損害に対する責任を負わず、また、い かなる逸失利益、データの紛失又はその他の間接的若しくは派生的損害に対する責任を 負わない。
9.8 責任の制限
本 CP「9.6.1本CAの義務と責任」の内容に関し、次の場合、本 CAは責任を負わない
ものとする。
・本CAに起因しない不法行為、不正使用又は過失等により発生する一切の損害
・利用管理者、利用者及び検証者が自己の義務の履行を怠ったために生じた損害
・利用管理者及び利用者のシステムに起因して発生した一切の損害
・本CA、利用管理者及び利用者のハードウェア、ソフトウェアの瑕疵、不具合あるいは その他の動作自体によって生じた損害
・利用管理者及び利用者が契約に基づく契約料金を支払っていない間に生じた損害
・本CAの責に帰することのできない事由で証明書及びCRLに公開された情報に起因す る損害
・本CAの責に帰することのできない事由で正常な通信が行われない状態で生じた一切の 損害
・証明書の使用に関して発生する取引上の債務等、一切の損害
・現時点の予想を超えた、ハードウェア的あるいはソフトウェア的な暗号アルゴリズム 解読技術の向上に起因する損害
・天変地異、地震、噴火、火災、津波、水災、落雷、戦争、動乱、テロリズムその他の 不可抗力に起因する、本CAの業務停止に起因する一切の損害
9.9 補償
本CA が発行する証明書を申請、受領、信頼した時点で、利用管理者及び利用者には、
本CA 及び関連する組織等に対する損害賠償責任及び保護責任が発生するものとする。
当該責任の対象となる事象には、損失、損害、訴訟、あらゆる種類の費用負担の原因と なるようなミス、怠慢な行為、各種行為、履行遅滞、不履行等の各種責任が含まれる。
9.10 文書の有効期間と終了
9.10.1 文書の有効期間
本CPは、NIIの承認により有効となる。本CP「9.10.2終了」に規定する終了以前に本 CPが無効となることはない。
9.10.2 終了
本CPは、本CAの終了と同時に無効となる。
9.10.3 終了の影響と存続条項
サービス利用機関と本CAとの間で利用契約等を終了する場合、又は、本 CA自体を終 了する場合であっても、その性質上存続されるべき条項は終了の事由を問わず利用管理 者、利用者、検証者及び本CAに適用されるものとする。
9.11 関係者間の個々の通知と連絡
本 CA は、利用管理者、利用者及び検証者に対する必要な通知をホームページ上
(https://certs.nii.ac.jp)、電子メール又は書面等によって行う。